CRYPTSETUP [mini-howto v0.2] by psycheye (20080422) ----------------------------------------------------- In questo mini-howto non verra' trattata la parte dei moduli, kernel, etc. inerente a cryptsetup (chissa'... magari un giorno la includero' :-) ma soltanto le operazioni di "base" per criptare un disco usando cryptsetup (usando una debian stable). Altra cosa non meno importante: non mi ritengo responsabile in nessun modo di nessun tipo di uso che farai delle informazioni che ho scritto, ne' della tua interpretazione delle stesse. Se combini, guai, casini, se perdi i dati, se il disco fonde, etc. l'unico responsabile e' colui che appare allo specchio quando sei di fronte ad esso! Bene! Ora che la ramanzina te l'ho fatta (e mi sono lavato la coscienza possiamo iniziare! ;-) Prepariamo il "necessario": ---------------------------- - una sigaretta (marlboro light); - una buona birra Whurer da 0,66l (buona si fa per dire, ma almeno e' economica); - un sacchetto di patatine (non troppo grosso). 0. INSTALLAZIONE PACCHETTI -------------------------- apt-get install cryptsetup dmsetup 1. CHECK DEL DISCO ------------------ Controllare se nel disco (dopo aver fatto l'umount) sono presenti settori danneggiati: /sbin/badblocks -c 10240 -s -w -t random -v /dev/hdX -c: blocks -s: show the progress -w: write-mode test -t: type of test richiede (o comunque puo' richiedere) anche diverse ore di check - dipende dall'interfaccia e dalla dimensione del disco) e da un po' di altre cose :-) 2. CREAZIONE DEL CONTAINER (come si dice in italiano? ;-) --------------------------------------------------------- dd if=/dev/random of=/dev/hdX piu' sicuro (ma estremamente piu' lento) di: dd if=/dev/urandom of=/dev/hdX Qui' c'e' da armarsi di (beata) pazienza e attendere.. aspettare (e forse invecchiare).. Inutile puntualizzare l'ovvio ma: hdX chiaramente fa riferimento al disco che desideri criptare - i dati presenti sul disco andranno persi :-) Da test fatti sulla mia macchina: dischi usb2.0 transfer rate 2,2Mb/s contro 5,5Mb/s di connessione sata diretta. 3. CRYPT DEL DISCO ------------------ cryptsetup --verify-passphrase --verbose --hash=sha256 --cipher=aes-cbc-essiv:sha256 --key-size=256 luksFormat /dev/hdX questo comando crea la partizione nello standard Luks cryptsetup (dalla man page) accetta o --verify-passphrase (-y) o l'opzione -d che punta ad un file in cui e' contenuta la passphrase. Ci sarebbe da aprire una bella parentesi sul fatto che crypt-setup fa uso della passphrase e non della password (e un motivo ci sara'), ma non e' questo lo scopo di questo howto :-) bella scusa, eh? cryptsetup luksOpen /dev/hdX disco_criptato (verra' creata la periferica disco_criptato in /dev/mapper) Ora, finalmente e' giunto il momento della creazione del filesystem. Puoi chiaramente usare quello che preferisci :-) Nel mio caso l'extended3 mkfs.ex3 -v /dev/mapper/disco_criptato Eccoci finalmente al mount del disco: mount -t auto /dev/mapper/disco_criptato /mnt/disco_criptato E' arrivato il momento di festeggiare accendendo una bella sigaretta! No.. meglio di no.. ci sono ancora un paio di cose da dire, o come dire, un piccolo sunto: - la prima volta che riavvierai tua macchina, per accedere al tuo disco sara' sufficiente dare un bel: cryptsetup luksOpen /dev/hdX disco_criptato e poi: mount /dev/mapper/disco_criptato /mnt/disco_criptato; - umount /mnt/disco_criptato && cryptsetup luksClose /dev/mapper/disco_criptato per smontare il disco e rimuovere la periferica. - se perdi la passphrase e' (forse) la fine.. quindi: armati di buona memoria quando la crei! Ehi, ma la sigaretta davvero non l'hai ancora accesa? :-) Sentiti libero di commentare, sminuire, criticare e qualsiasi altra cosa ti venga in mente a questo indirizzo: psycheye@fuckaround.org psycheye